Uudet aseet roskapostin torjuntaan
Petteri Järvinen
Uudet aseet roskapostin torjuntaan
Roskapostin määrä kasvaa jatkuvasti. Epätoivoiset käyttäjät ovat valmiita jopa luopumaan sähköpostin käytöstä, jos tilanne ei parane. Roskan torjunta kaipaa kipeästi uusia keinoja.
Kesästä 2007 alkanut trendi on nostanut roskan osuuden sähköpostissa ennätystasolle, eikä kasvu osoita mitään hiipumisen merkkejä.
Roskaamisesta on tullut niin vakava ongelma, että koko sähköpostin asema on vaarassa. Kuka haluaa lähettää sähköpostia, jos asiaviestit hukkuvat roskan joukkoon tai tarttuvat turhaan suodattimiin?
Roskaviestien lannistamat käyttäjät eivät jaksa seurata postiaan entiseen tapaan, ja viesteihin vastataan aiempaa laiskemmin.
Perinteisistä roskapostisuodattimista on vain rajallisesti hyötyä. Sähköpostin pelastamiseksi tarvitaan järeämpiä keinoja.
Roskaaminen kannattaa
Tehokkain tapa puuttua ongelmaan on poistaa sen syy. Roskapostit eivät ole haittaohjelmia eivätkä kiusantekoa, vaan tehokas markkinointikanava. Hyötysuhde on huono, mutta toisaalta lähettäminen on liki ilmaista.
Tuloksista päätellen markkinointi toimii, sillä roskaposti on levinnyt uusille kielialueille. Laatikkoon tulvii yhä enemmän saksan-, espanjan-, kiinan- ja venäjänkielisiä viestejä.
Nettikäyttäjien määrä kasvaa nopeasti kehittyvissä maissa kuten Kiinassa, Intiassa, Venäjällä ja Brasiliassa. Heille sähköpostimarkkinointi on vielä uutta, eivätkä he osaa epäillä tarjottujen tuotteiden ja palvelujen laatua.
Tekniseltä kannalta roskan lähettäminen on yhä helpompaa, sillä uudet käyttäjät eivät hallitse tietoturvaa eivätkä osaa varoa netissä. Miljoonia uusia työasemia on saatu kaapattua ja muutettua zombeiksi, jotka suoltavat ei-toivottua markkinointia kaikkialle maailmaan.
Suomalaiset saavat syyttää myös itseään. Tullin haaviin jää joka päivä kasa laittomasti tilattuja lääkkeitä, valtaosa niistä Viagraa ja muita potenssilääkkeitä. Ostajat eivät kehtaa pyytää reseptiä omalta lääkäriltä tai heillä ei ole käyttöön lääketieteellistä perustetta. Netissä kukaan ei kysele mitään.
Roskapostimarkkinointi toimii niin hyvin, että suomalainenkin tilaaja on valmis rikkomaan lakia ja riskeeraamaan oman terveytensä piraattilääkkeitä tilaamalla.
Luovutaan sähköpostista
Yksinkertaisin keino päästä eroon roskasta on lopettaa sähköpostin käyttö. Joissakin yrityksissä on alettu taas suosia perinteistä puhelinta ja tekstiviestejä. Niiden naputtelu kännykän numeronäppäimistöllä on hidasta, mutta esimerkiksi Iphonella tai Kommunikaattorilla kirjoittaminen sujuu tyydyttävästi.
Vielä paremmin tekstiviestit singahtelevat Nokian PC Suite -ohjelmasta. Puhelin kytkeytyy bluetoothilla langattomasti kannettavaan tietokoneeseen. Saapuneet ja lähtevät tekstiviestit näkyvät ikkunassa, ja viestit kirjoitetaan oikealla näppäimistöllä.
Erilaisten puhepakettien ansiosta viestien lähettäminen ei maksa juuri ilmaista sähköpostia enempää. Lisäksi viestit kulkevat heti perille asti, eikä vastaanotto riipu siitä, milloin vastaanottaja avaa tietokoneensa.
Tämäkin ratkaisu voi osoittautua väliaikaiseksi. Laskevien lähetyskustannusten myötä mainostajat ovat löytäneet tekstiviestit. Kesäkuussa suomalaisia pommitettiin englanninkielisillä viesteillä, jotka kertoivat 170 000 euron arvontavoitosta.
Siirrytään pikaviesteihin
Sähköpostit voidaan osittain korvata myös pikaviesteillä. Microsoft Messengeriä käyttävät nuorten lisäksi myös monet yritykset. Viestit kulkevat suoraan ohjelmasta toiseen ja näkyvät reaaliajassa vastaanottajalle.
Messengeristä on versio älypuhelimia varten. Lisäksi Skype-nettipuhelinta voi käyttää pikaviesteihin.
Varjopuolena on, että vastaanottajan on oltava laitteen ääressä viestien tullessa. Lähetetyt viestit eivät jää odottamaan, kuten sähköposti tekee. Lisäksi yritysten väliset pikaviestiyhteydet voivat vaarantaa tietoturvaa juoruamalla liikaa käyttäjän toimista. Yrityksen sisäisessä käytössä ne toimivat kuitenkin hyvin.
Pikaviestit eivät jää tiedostoon, ellei käyttäjä itse tallenna niitä. Se kannattaa ottaa tavaksi varsinkin työasioita hoidettaessa.
Pääsy vain kavereille
Myspacen ja Facebookin kaltaiset palvelut ovat suosittuja, koska jäsenet kokoavat niissä oman, luotetun yhteisönsä. Palveluihin sisältyy myös sähköposti. Kun rajoittaa postinkulun vain oman yhteisön jäseniin, voi olla varma, että jokainen viesti on tärkeä.
Muutama yritys on alkanut miettiä, voisiko yrityksenkin sähköpostin rajoittaa vain asiakkaisiin ja yhteistyökumppaneihin. Mikään laki kun ei velvoita tarjoamaan työntekijöille avointa postin käyttömahdollisuutta.
Eston voisi tehdä jopa palomuurissa, jolloin se torjuisi tunkeutumisyritykset ja väärennetyt virheviestit. Uusia asiakaskontakteja varten www-sivulle pitäisi kuitenkin lisätä lomake, jolla yritykseen saisi yhteyden ja voisi pyytää palomuurin avaamista omalle ip-osoitteelle.
Hieman lievempi versio tästä olisivat kertakäyttöosoitteet. Lähettäjän pitäisi ensin tarkistaa yrityksen www-sivulta, mikä on vastaanottajan parhaillaan voimassa oleva osoite. Se voisi sisältää nimen ohella tunneittain vaihtuvan numerokoodin.
Käyttöajan umpeuduttua osoite poistuisi automaattisesti käytöstä. Viesteihin vastaaminen onnistuu niin, että postipalvelin tarkistaa viestin koko tekstin ja vertaa sitä yrityksestä lähteneisiin viesteihin. Jos vastaus täsmää omiin lähetyksiin, se päästetään läpi.
Kuittaus tähän, kiitos
Tehokas keino torjua roskaa on vaatia jokaiselta uudelta lähettäjältä vahvistus siitä, että tämä on tosiaan lähettänyt viestin.
Vastaanottajan palvelin vaatii lähettäjältä kuittauksen ennen viestin vastaanottamista. Kuittauksen jälkeen hänen nimensä lisätään sallittujen listalle, ja seuraavalla kerralla viestit menevät perille ilman kuittausta.
Vahvempi suojaus antaa lähettäjän suoritettavaksi laskutehtävän tai pyytää tunnistamaan grafiikan keskelle upotettua tekstiä. Tällä eliminoidaan mahdolliset postitusrobotit ja varmistetaan, että kuittaaja on varmasti ihminen.
Kuittauksen pyytäminen uusilta lähettäjiltä lisää työtä ja on epäkohteliasta, mutta se on pakko hyväksyä.
Hankalimpia tapauksia ovat postituslistat, jotka vastaanottajan on muistettava itse lisätä sallittujen listalle.
Kahden kerroksen netti
Yrityksiä varten voisi perustaa ”oman” internetin, jossa liikennöinti olisi suojattu nykyistä paremmin ja osapuolet todennettu luotettavasti. Tällaiseen verkkoon liittyminen edellyttäisi operaattorin tai jonkin luokituslaitoksen hyväksyntää.
Lisää turvallisuutta tulisi, jos pääsyvaatimuksena olisi kaiken liikenteen salaaminen; siis eräänlainen globaali vpn-verkko. Yritykset olisivat valmiita maksamaan heitä varten räätälöidystä netistä, jos se oleellisesti vähentäisi tietoturva- ja roskaongelmia.
Bisnesnetin ulkopuolelta lähetetty sähköposti kulkisi perille, mutta sitä kohdeltaisiin kakkosluokan postina, jonka toiminnasta ei ole takeita. Yritysten julkiset www-sivut perustettaisiin entiseen tapaan ”vanhan” internetin puolelle.
Radikaali ajatus kompastuisi luultavasti tietoturvaan. Olisi mahdotonta estää haittaohjelmia pääsemästä bisnesnetissä olevien yritysten työasemille. Sinne päästyään ne voisivat lähettää roskaa ja aiheuttaa ongelmia entiseen tapaan.
Tavoite voisi toteutua vain, jos verkot eristettäisiin täysin toisistaan. Käyttäjällä pitäisi olla erilliset sähköposti- ja selainohjelmat molempia verkkoja varten. Se tekisi elämän kovin hankalaksi.
Sielläkin, missä vaaditaan äärimmäistä turvallisuutta – kuten voimalaitoksissa tai tehtaissa – trendi on pikemminkin päinvastainen: aiempia erillisverkkoja liitetään internetiin turvariskeistä huolimatta.
Sähköpostimerkit
Roskapostin taustalla on alkeellinen smtp-protokolla. Sen kehittäjät eivät 1970-luvulla osanneet arvata, millaisia haasteita sähköpostiin liittyisi 30 vuotta myöhemmin.
Protokollaan voitaisiin liittää laskutus, joka toimisi postimerkin tavoin. Jos jokaisesta sähköpostista veloitettaisiin vaikka yksi sentti, miljoonien roskapostien lähettäminen tulisi liian kalliiksi.
Kustannus jäisi kuitenkin kaapatun koneen omistajan, siis uhrin, maksettavaksi. Yllätyslaskun pelko saisi käyttäjät huolehtimaan tietoturvastaan nykyistä paremmin, mutta johtaisi muihin hankaluuksiin.
Valuutan ei tarvitse olla rahaa. Microsoftin Pennyblack-hankkeessa on kehitetty laskutehtäviä, jotka kuluttavat lähettävän koneen aikaa ja näin hidastavat joukkopostituksia. Parasta ideassa on, ettei se edellytä teknisiä muutoksia.
Järjestelmässä vastaanottaja vaatii jokaiseen viestiin laskutehtävän ja tuloksen, josta voi varmistaa tehtävän tulleen suoritetuksi. Esimerkiksi 10 sekuntia kestävä laskutehtävä pudottaisi roskan määrää oleellisesti, mutta ei juuri vaikuttaisi postin normaalikäyttöön.
Haasteena on kehittää tehtävä, joka pysyy sopivan vaikeana koneiden nopeutuessa. Lisäksi roskaajat voivat kiertää hidasteita kaappaamalla lisää koneita.
Teknisiä keinoja
Teknisesti kehittyneempi keino on lähettävän palvelimen autentikointi. Yahoo on kehittänyt Domainkeys-järjestelmän antispam.yahoo.com/domainkeys sähköpostin lähettäjätiedon aitouden varmistamiseksi.
Sähköpostipalvelimelle luodaan salaustekniikassa käytetty avainpari, jonka julkinen osa tallennetaan dns-nimipalveluun ja yksityinen osa palvelimelle. Lähettävä palvelin lisää viestin alkuun sisällöstä lasketun tunnisteen ja allekirjoittaa sen digitaalisesti.
Vastaanottava palvelin tai sähköpostin lukuohjelma tarkistaa allekirjoituksen aitouden Lähettäjä-kentän osoittaman verkkotunnuksen julkisella avaimella, joka haetaan dns-nimipalvelusta. Jos tarkistus täsmää, lähettäjätieto on aito.
Yksinkertaisempi spf-tekniikka (Sender Policy Framework) lisää domain-osoitteen dns-tietoihin listan koneista, jotka saavat lähettää sähköpostia kyseisen domainin nimissä. Vastaanottaja voi tarkistaa, että ilmoitettu domain-tieto todella löytyy dns-palvelusta.
Teknisten muutosten ongelma on niiden hidas yleistyminen. Tuloksia saadaan vasta, kun riittävän moni on siirtynyt niiden käyttäjäksi.
Nopeaa lievitystä roskapostiähkyyn ei ole luvassa. Niiden, jotka yhä haluavat käyttää sähköpostia, on vain pakko purra hammasta ja koettaa kestää.
Sitkeä vastustaja
Joulukuussa 2005 liikenne- ja viestintäministeri Susanna Huovinen kehui, miten roskapostin määrä oli saatu laskemaan 80 prosentista kolmannekseen. ”Roskapostin määrän väheneminen on osoitus siitä, että määrätietoisin toimin kyetään vaikuttamaan Internetin mukanaan tuomiin lieveilmiöihin”.
Yhtä pahasti epäonnistui Bill Gates, kun hän tammikuussa 2004 Davosin talouskonferenssissa ennusti, että roskaposti saadaan kuriin kahdessa vuodessa.
Roskaposti on kuin monipäinen lohikäärme. Niin kauan kuin markkinointi toimii, roskaamista on mahdotonta saada kuriin. Yhden leikatun pään tilalle kasvaa aina kaksi uutta.
Aikoinaan roskaposti oli pienten yritysten keino saada itselleen huomiota. Nyt roskaaminen on ammattilaisten käsissä. Sitä osoittavat massiiviset kampanjat, jotka suoltavat oman postilaatikon täyteen lähes samanlaisia mainoksia.
Aikaisemmin lähetyksiä pyrittiin kohdistamaan ja tutkimaan, avasiko vastaanottaja viestejä. Enää sillä ei ole merkitystä. Vain määrät ratkaisevat.
Kun roskaamisesta on selvästi tullut ammattimaista toimintaa, auttaisiko rangaistusten kiristäminen? Länsimaissa lakeja on tiukennettu, mutta lopputulokseen sillä ei ole ollut mitään vaikutusta.
Keväällä Myspace-yhteisöpalvelun nostamassa kanteessa amerikkalainen Sanford Wallace tuomittiin 230 miljoonan dollarin korvauksiin 730 000 roskapostin lähettämisestä Myspace-käyttäjille. Wallacen olinpaikkaa ei tosin tiedetä, joten korvausten periminen voi osoittautua mahdottomaksi.
Rangaistuksen pelko ei paljon paina, kun toisessa vaakakupissa ovat miljoonavoitot. Lisäksi valtaosa viesteistä kierrätetään sellaisten maiden kautta, joissa lainsäädäntö ei edes kiellä toimintaa.
